19.03.2024

Systemy ochrony danych osobowych w Unii Europejskiej i Stanach Zjednoczonych

opublikowano: 2019-07-08 przez: Pusiewicz Weronika

Niewątpliwie problematyka ochrony danych osobowych stanowi w ostatnich latach nośny temat, głównie za sprawą dokonującej się w Unii Europejskiej (dalej: „UE” albo „Unia”) reformy w tej dziedzinie. Na pakiet unijnych zmian legislacyjnych składają się rozporządzenie o ochronie danych osobowych[1] (dalej: „RODO”), tzw. dyrektywa policyjna[2] oraz dyrektywa w sprawie danych pasażerów linii lotniczych (PNR)[3]. Ze względu na zasięg oddziaływania i przewidywane kary finansowe szczególnie szeroko, także poza Europą, komentowane są przepisy RODO. Przez jednych są one uznawane za rewolucję w ochronie danych osobowych, przez innych raczej za próbę zmniejszenia dysonansu między coraz bardziej cyfrową rzeczywistością a nieprzystającym do niej prawem. Faktem natomiast jest to, że UE postawiła sobie za cel ochronę danych osobowych swoich obywateli, bez względu na miejsce przetwarzania tych danych. Zważywszy na bliskie relacje gospodarcze łączące UE i USA, to właśnie Stany Zjednoczone są najważniejszym „importerem” danych osobowych dotyczących milionów Europejczyków. Warto zatem przyjrzeć się amerykańskim rozwiązaniom systemowym w dziedzinie ochrony danych osobowych oraz dwustronnie wypracowanym transatlantyckim mechanizmom prawnym, regulującym komercyjny transfer danych.
 
Podstawowe regulacje prawne w dziedzinie ochrony danych osobowych
Geneza ochrony danych osobowych jest łączona z kształtowaniem się prawa do prywatności. Stąd początek prawnej ochrony danych osobowych w obrocie międzynarodowym należy datować na 1948 rok. Przyjęto wówczas Powszechną Deklarację Praw Człowieka, która w art. 12 odwołuje się do zakazu samowolnego ingerowania w cudze życie prywatne, domowe, rodzinne i korespondencję. W podobny sposób do prawa do prywatności odnosi się Międzynarodowy Pakt Praw Obywatelskich i Politycznych z 1966 r., który w przeciwieństwie do Deklaracji jest wiążącą strony umową międzynarodową. W ramach ONZ problematykę ochrony danych osobowych poruszyła rezolucja 34/169 przyjęta przez Zgromadzenie Ogólne ONZ w 1979 r. – Kodeks postępowania funkcjonariuszy porządku prawnego, nakazujący zapewnienie szczególnej ochrony posiadanym przez funkcjonariuszy poufnym informacjom. Prawo do poszanowania życia prywatnego przewiduje również art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności z 1950 r. przyjętej przez wszystkie państwa będące członkami Rady Europy.
Za pierwszą na świecie całościową regulację w dziedzinie dotyczącej stricte ochrony danych osobowych uznaje się Datenschutzgesetz – ustawę przyjętą w 1970 r. w Niemczech przez Hesję, choć jej zakres oddziaływania ograniczony był tylko do tego landu. Natomiast w 1974 r. w USA uchwalono Privacy Act, który miał zasięg ogólnopaństwowy, ale podmiotowo zawężony do przetwarzania danych przez amerykańskie agencje federalne.
Od tego momentu coraz częściej obok prawa do prywatności akcentowane było prawo do ochrony danych osobowych, czego wyrazem jest np. Konwencja Nr 108 Rady Europy z 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. W zakresie prawodawstwa UE należy wskazać jako kluczowy art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, stwierdzający, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Z kolei Karta Praw Podstawowych Unii Europejskiej, oprócz postanowień odnoszących się do ochrony danych osobowych (art. 8), wymienia także prawo do poszanowania życia prywatnego (art. 7).
Prawo do prywatności identyfikowane jest jako podstawowe prawo człowieka w prawie unijnym i międzynarodowym, zaś ochronę danych osobowych uznaje się za jeden z aspektów prawa do prywatności[4]. Mimo że występuje między nimi ścisła relacja, to nie należy ich traktować jako pojęcia zakresowo tożsame[5].
 
 
RODO jako nowy model ochrony danych osobowych
25 maja 2019 r. minął rok od momentu, w którym RODO zaczęło obowiązywać we wszystkich państwach członkowskich UE. Po tym okresie Komisja Europejska zaplanowała przegląd i podsumowanie procesu jego wdrażania, zaś w 2020 r. ma przedstawić sprawozdanie w sprawie stosowania tych przepisów[6]. Do stycznia 2019 r. odpowiednie zmiany w prawie krajowym wprowadziło 23 z 28 państw członkowskich[7].
RODO przewartościowało europejskie podejście do ochrony danych osobowych. Regulacje państw członkowskich wdrażające dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[8] (dalej: „dyrektywa 95/46/WE”) zostały zastąpione aktem prawnym w formie rozporządzenia, mającym bezpośrednie zastosowanie w krajowych porządkach prawnych. Obowiązująca ponad 20 lat dyrektywa 95/46/WE powstała w innej, mniej cyfrowej, rzeczywistości, zaś przepisy w zakresie ochrony danych osobowych były nadal nadmiernie zróżnicowane w państwach członkowskich. Wprowadzenie RODO oznacza co do zasady utworzenie jednego, wspólnego dla całej UE standardu ochrony danych osobowych. Niemniej jednak, pomimo tego, że rozporządzenie nie wymaga (co do zasady) implementacji do krajowego porządku prawnego, RODO w wielu miejscach pozwala państwom członkowskim na uregulowanie pewnych kwestii na poziomie krajowym (np. w zakresie kar nakładanych na organy i podmioty publiczne).
RODO ma szeroki zakres zastosowania, co istotne, wykraczający poza terytorium UE. Zgodnie z art. 3 ust. 2 RODO organizacje, które nie posiadają jednostek organizacyjnych na terenie UE, podlegają jego przepisom, jeśli przetwarzają dane osobowe mieszkańców UE w związku z monitorowaniem ich zachowania na terenie UE lub oferowaniem im towarów lub usług, bez znaczenia, czy następuje to odpłatnie czy nie. Emanacja przepisów RODO poza terytorium UE, oprócz zwiększenia ochrony danych osobowych jej mieszkańców, jest wyrazem roli, jaką Unia wyznaczyła sobie w zakresie propagowania reprezentowanych przez nią wartości w dziedzinie ochrony danych. RODO ma ułatwić transgraniczne transfery danych poprzez wspieranie ujednolicenia systemów prawnych w skali globalnej[9]. Poziom ochrony danych wprowadzony przez poszczególne państwa wciąż jest mocno zróżnicowany, zaś niewiele z nich zdecydowało się zastosować standard porównywalny z unijnym, uznawanym za jeden z najwyższych na świecie[10]. Natomiast podstawowym założeniem unijnego modelu ochrony danych osobowych jest zasada, że transfer danych osobowych z UE do państwa trzeciego może się odbyć tylko wtedy, gdy państwo trzecie zapewnia adekwatny stopień ochrony[11]. Można zatem powiedzieć, że ochrona danych osobowych zapewniana przez RODO „przemieszcza się” wraz tymi danymi.
Do tej pory Komisja Europejska wydała decyzje (o różnym charakterze i zakresie stosowania) uznające odpowiedni stopień ochrony danych osobowych wobec takich państw jak Andora, Argentyna, Australia, Izrael, Japonia, Kanada Szwajcaria, Urugwaj, Nowa Zelandia[12]. Wśród nich zabrakło USA. W świetle danych statystycznych Komisji Europejskiej z 2016 r. to właśnie Stany Zjednoczone pozostają głównym partnerem gospodarczym UE, na którego przypada niemal 23% udziału w unijnym eksporcie towarów i usług. Dla porównania na drugim miejscu plasuje się Szwajcaria z prawie 10% udziału, zaś na trzecim Chiny, do których z UE trafia 8% eksportowanych dóbr i usług[13].
Zróżnicowanie sposobów ochrony danych osobowych w poszczególnych ustawodawstwach skutkowało tym, że instrumenty ochrony w obrębie państwa, związku państw, a nawet ich organizacji, okazały się nieefektywne[14]. Szczególne wyzwanie stanowią ponadnarodowe korporacje założone w Stanach Zjednoczonych, takie jak Facebook, Google, Amazon czy Microsoft, które gromadzą i przetwarzają na skalę światową informacje i dane osobowe, w tym dane obywateli UE, jednocześnie wymykając się z zakresu regulacji przepisów unijnych. Na tym polu można jednak odnotować pierwszy sukces w postaci nałożenia na Google przez francuski organ ochrony danych osobowych, najwyższej jak dotąd na gruncie przepisów RODO kary finansowej, w kwocie 50 milionów euro. Naruszenie dotyczyło głównie nieprawidłowo pozyskiwanych zgód na przetwarzanie danych oraz braku przejrzystości w informowaniu użytkowników o przetwarzaniu ich danych.
 
 
Różnice między unijnym a amerykańskim modelem ochrony danych osobowych
Porównując dwa modele ochrony danych osobowych, jakie wykształciły się po obu stronach Atlantyku, należy przede wszystkim mieć na uwadze różnice między systemami prawnymi, w których one funkcjonują. Amerykański model ochrony danych osobowych rozwinął się w systemie prawa precedensowego (common law), zupełnie odmiennym aniżeli europejski (kontynentalny) system prawa stanowionego. Charakterystyczne dla systemu common law opieranie rozstrzygnięć sądowych na wcześniejszych precedensach przesądziło o odmiennym podejściu do ochrony danych osobowych. W efekcie specyficzna metoda systemu common law ujmowania problematyki prywatności a casu ad casum nie sprzyjała rozwojowi ogólnego reżimu ochrony danych osobowych[15].
O ile UE poprzez przyjęcie RODO wprowadziła jednolity wzorzec ochrony danych osobowych, eliminując w tym zakresie dualizm prawa krajowego i unijnego, o tyle w USA regulacja tej dziedziny pozostaje sektorowa, fragmentaryczna, zawarta w wielu aktach różnej rangi, zarówno na poziomie federalnym, jak i stanowym[16]. Taki sposób regulacji nazywany jest również legislacją patchworkową. Jako przykład sektorowych przepisów prawnych wymienić można Federal Trade Commission Act (FTCA) z 1914 r. – ustawę dotyczącą ochrony praw konsumenta, choć w praktyce obejmuje również ochronę danych osobowych, czy Health Insurance Portability and Accountability Act z 1996 r. dotyczący danych medycznych. Standard ochrony uzależniony jest od rodzaju danych, jakie ma chronić. Sektorowe regulacje różnią się zasadami przetwarzania danych osobowych w poszczególnych dziedzinach, tworząc odrębne wymogi co do warunków przetwarzania, obowiązków informacyjnych czy choćby dochodzenia roszczeń.
Prawo do ochrony danych osobowych w systemie amerykańskim kształtowało się w ramach dyskusji nad pojęciem prawa do prywatności, mimo że, w przeciwieństwie do wielu konstytucji państw europejskich, konstytucja Stanów Zjednoczonych nie posługuje się explicite tym pojęciem. Pojawienie się prawa do prywatności, jako odrębnej kategorii jurydycznej, łączy się z opublikowaniem w 1890 r. na łamach „Harvard Law Review” artykułu autorstwa bostońskich prawników Samuela Warrena i Louisa Brandeisa zatytułowanego „The right to privacy”[17].
Koncepcja prawa do prywatności pozostaje obiektem zainteresowań amerykańskiej literatury przedmiotu i orzecznictwa, które wypracowały pewne kryteria dokonujące dystynkcji w sferze prywatności. W związku z czym można wyróżnić „prywatność decyzyjną” rozumianą jako zdolność podejmowania decyzji bez ingerencji osób trzecich, „prywatność fizyczną” związaną z pojęciem miru domowego oraz „prywatność informacyjną” (data privacy) oznaczającą kontrolę nad informacją i danymi osobowymi[18]. Zatem to właśnie amerykańska prywatność informacyjna jest utożsamiana z europejską ochroną danych osobowych[19]. Tym, co łączy oba te podejścia jest przekonanie, że prawa te nie mają charakteru bezwzględnego i podlegają wartościowaniu w stosunku do innych praw podstawowych.
Za najważniejszy w USA federalny akt normatywny w dziedzinie prywatności informacyjnej uznaje się Privacy Act z 1974 r. Wprowadził on zasadę adekwatności danych, obowiązek zbierania danych w miarę możliwości bezpośrednio od podmiotu danych oraz obowiązek informowania podmiotu o podstawowych celach zbierania danych. Jednak ustawa ta miała zastosowanie wyłącznie do danych przetwarzanych przez agencje federalne, zaś pomijała problem przetwarzania danych przez podmioty sektora prywatnego, władze stanowe i lokalne, a także agencje wywiadowcze[20]. Co więcej, z ochrony przyznanej przepisami Privacy Act korzystać mogą jedynie obywatele USA oraz osoby posiadające prawo stałego pobytu w tym państwie. Podmiotowe ograniczenia w zakresie ochrony danych tylko do obywateli USA są charakterystyczne dla wielu amerykańskich regulacji[21]. Natomiast zgodnie z motywem 14 preambuły RODO ochrona zapewniana tym rozporządzeniem powinna mieć zastosowanie do osób fizycznych w związku z przetwarzaniem ich danych, niezależnie od obywatelstwa czy miejsca zamieszkania.
W prawie amerykańskim nie ma jednej definicji danych osobowych. Zakres tego pojęcia różni się w zależności od sektora, którego dotyczy dany akt prawny. Podstawowym celem amerykańskich przepisów dotyczących danych osobowych jest zapewnienie ich bezpieczeństwa, zaś nie uwzględniają one takich aspektów jak przejrzystość procesu przetwarzania danych, minimalizacja danych, zasada legalności czy ograniczenia przechowywania danych osobowych, które są wyraźnie akcentowane przez prawodawcę unijnego w RODO[22].
Różnice występują również na poziomie rozumienia, czym jest naruszenie ochrony danych osobowych. RODO definiuje je jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Jest to ujęcie znacznie szersze niż standardowe rozumienie naruszenia ochrony danych osobowych na gruncie przepisów amerykańskich jako nieuprawnionego dostępu lub nabycia określonych danych. Oba omawiane systemy ochrony danych osobowych przewidują konieczność zgłoszenia naruszenia ochrony danych osobowych. Zgodnie z art. 33 RODO zgłoszenie to powinno nastąpić bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W USA termin na zgłoszenie naruszenia ochrony danych osobowych w zależności od stanu wynosi od 5 dni do nawet 30 dni[23]. Przepisy RODO nakładają obowiązek zgłoszenia naruszenia organowi nadzorczemu. W przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o naruszeniu zawiadamia się również osobę, której dane dotyczą. Natomiast adresatem zgłoszenia o naruszeniu ochrony danych osobowych w USA jest co do zasady osoba, której danych dotyczy naruszenie, z tym że niektóre przepisy mogą nakładać obowiązek powiadomienia o naruszeniu również stanowych prokuratorów (state attorneys general) lub agencji federalnych[24].
Unijny system ochrony danych osobowych mocno akcentuje rolę niezależnego krajowego organu ochrony danych osobowych odpowiedzialnego za monitorowanie i egzekwowanie przestrzegania przepisów RODO. Co więcej, w celu zapewnienia spójnego stosowania tych przepisów powołana została Europejska Rada Ochrony Danych. W amerykańskim systemie na poziomie federalnym na próżno szukać odpowiednika polskiego Urzędu Ochrony Danych Osobowych. Powstałą w tym zakresie lukę w praktyce próbuje wypełniać Federalna Komisja Handlu (Federal Trade Commission) – kolegialny organ składający się z 5 komisarzy powoływanych przez Prezydenta za zgodą Senatu. Ustawowym polem działania tej komisji są przede wszystkim nieuczciwe i wprowadzające w błąd praktyki rynkowe, pośrednio zaś, w wyniku interpretacji przepisów Federal Trade Commission Act, zajmuje się ona także sprawami z zakresu ochrony prywatności[25].
Na tle tej mozaiki legislacyjnej prawa federalnego i stanowego szczególnie wyróżnia się stan Kalifornia, w którym siedziby mają największe światowe spółki technologiczne. Kalifornia jest pionierem, jeśli chodzi o ochronę danych osobowych w USA. Wprowadzane przez nią rozwiązania prawne często stanowią impuls do przyjęcia podobnych regulacji na poziomie krajowym, czego przykładem może być nałożenie w 2003 r. obowiązku zgłaszania naruszenia ochrony danych osobowych, który to obowiązek przewiduje obecnie każdy z 50 stanów[26]. Kalifornia przyjęła nową ustawę, której przedmiot i sposób regulacji wykazuje pewne podobieństwa do RODO. Mowa o The California Consumer Privacy Act, która ma wejść w życie 1 stycznia 2020 r. Opisywana jest jako najsurowsze prawo w dziedzinie ochrony danych, jakie kiedykolwiek wprowadzono w USA[27]. Nowe prawo zakłada wzmocnienie kontroli użytkowników nad ich danymi osobowymi oraz opiera się na znanych z RODO zasadach przetwarzania danych, tj. zasadach rozliczalności i przejrzystości. Przyznaje ono mieszkańcom stanu Kalifornia następujące prawa: prawo do informacji o zbieranych danych, prawo dostępu do tych danych, prawo do informacji, czy i komu ich dane są sprzedawane i prawo do wycofania zgody na ich sprzedaż. Podobnie jak RODO, omawiana ustawa wykracza poza swój zakres terytorialny, bowiem może oddziaływać na podmioty, mające swoje siedziby również poza granicami stanu Kalifornia. Jednocześnie wymaga od podmiotów zbierających dane osobowe konsumentów dużego wysiłku w dostosowaniu się do jej wymogów. Natomiast wypełnienie warunków stawianych przez The California Consumer Privacy Act nie gwarantuje jeszcze zgodności z przepisami RODO[28].
Fundamentalną różnicą między unijnym i amerykańskim rozumieniem ochrony danych osobowych, rzutującą na sposób objęcia ich ochroną, jest zupełnie różna optyka postrzegania jednostki i jej miejsca w systemie prawnym. Unijny model traktuje człowieka jako jednostkę nieustannie narażoną na naruszenie jej praw, a zatem wymagającą aktywnej roli prawodawcy, gwarantującego jej narzędzia dochodzenia swoich praw na drodze publicznoprawnej[29]. Natomiast w systemie amerykańskim naczelną wartością jest wolność gospodarcza, zaś wizja jednostki opiera się na założeniu, że jest ona świadomym uczestnikiem obrotu. Zwłaszcza w ramach sektora prywatnego dominuje postrzeganie prawa prywatności i ochrony danych osobowych przez pryzmat jednostki jako konsumenta. Przesunięcie akcentów ze sfery praw podstawowych na relacje konsumenckie, a tym samym nakierowanie obu stron wyłącznie na zaspokojenie ich potrzeb rynkowych, jest uznawane za przyczynę fragmentaryczności amerykańskich regulacji w dziedzinie ochrony danych osobowych[30].
Obrót danymi osobowymi na rynku amerykańskim jest dość swobodny i odformalizowany. Powszechna jest praktyka sprzedaży danych między podmiotami gospodarczymi, opierająca się jedynie na samoregulacji i autocertyfikacji dokonywanych przez podmioty w danej branży, co wobec braku nadzoru jest iluzorycznym narzędziem ochrony danych. Charakterystyczną cechą krajowych regulacji ochrony danych osobowych w prywatnym sektorze jest wprowadzenie mechanizmu wycofania się (opt-out), czyli prawa żądania przez obywatela usunięcia jego danych z konkretnego zbioru. Mechanizm ten ilustruje zasadniczą odmienność amerykańskiego modelu ochrony danych osobowych, przerzucającego ciężar aktywności w ochronie danych osobowych i zabezpieczenia swoich praw na podmiot tych praw[31]. Z kolei w UE wprowadzono koncepcję domyślnej ochrony danych, nakierowaną na maksymalną ochronę użytkownika (privacy by default) i wbudowaną już na etapie projektowania (privacy by design). Zatem zgodnie z prawem unijnym to na podmiocie przetwarzającym dane osobowe ciąży obowiązek zapewnienia ochrony danych. Pozycją wyjściową ma być takie ukształtowanie polityki prywatności przez podmiot, aby zapewnić właściwą ochronę przetwarzanych przez niego danych, bez względu na to, czy podmiot tych danych o nią zabiega czy nie.
 
Transatlantycki przepływ danych
W wyniku funkcjonowania po obu stronach Atlantyku tak odmiennych systemów ochrony danych osobowych i braku możliwości uznania USA za państwo, którego otoczenie prawne zapewnia odpowiedni stopień ochrony tych danych, konieczne stało się wypracowanie rozwiązań regulujących ich transatlantycki przepływ. W obliczu negatywnych następstw braku efektywnego transferu danych, w szczególności dla europejskich przedsiębiorców, oraz dzięki politycznej woli wypracowania kompromisu powstał Program Safe Harbour (Bezpieczna Przystań). Podstawowym założeniem tego programu było zagwarantowanie, że transferowane dane osobowe będą miały w USA poziom ochrony podobny do europejskiego[32]. Jego opracowaniem zajął się Departament Handlu Stanów Zjednoczonych we współpracy z Komisją Europejską, która decyzją z 26 lipca 2000 r.[33] potwierdziła adekwatność ochrony danych osobowych w ramach Programu Safe Harbour. Decyzja Komisji została przyjęta na mocy art. 25 ust. 6 dyrektywy 95/46/WE. Funkcjonowanie Programu opierało się na zasadzie dobrowolnej samocertyfikacji. Podmiot samodzielnie zobowiązywał się do przestrzegania zasad Programu, notyfikując tę okoliczność Departamentowi Handlu USA. Jednak należy zauważyć, że adekwatny poziom ochrony, przynajmniej teoretycznie, miały zapewniać nie Stany Zjednoczone, ale jedynie podmioty, które przystąpiły do Programu Safe Harbour.
Na przestrzeni lat wskazany program poddawany był coraz większej krytyce. Na dysfunkcjonalność porozumienia wskazywała tzw. Grupa Robocza Art. 29, czyli powołana na mocy art. 29 dyrektywy 95/46/WE grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych[34]. Podkreślała ona ograniczony zakres obowiązywania porozumienia i nieskuteczność w egzekwowaniu przyjętych zobowiązań[35]. Dodatkowo niepokój wzbudzały doniesienia dotyczące inwigilacji Amerykanów i obywateli innych państw, w tym obywateli UE, przez amerykańskie służby wywiadowcze w ramach programu PRISM. Okazało się bowiem, że wśród podmiotów, do których danych dostęp miały amerykańskie służby wywiadowcze, znajdowały się niemal wszystkie podmioty certyfikowane w ramach Programu Safe Harbour[36]. Dostęp odbywał się bez żadnej kontroli ze strony europejskiej i wykraczał poza zakres niezbędny i proporcjonalny z uwagi na bezpieczeństwo czy porządek publiczny. W związku z tym od 2013 r., kiedy to ujawniono informacje dotyczące programu PRISM, zaczęto poważnie zastanawiać się nad koniecznością zmian w Programie Safe Harbour[37]. Ostateczny „cios” Programowi zadał Trybunał Sprawiedliwości Unii Europejskiej (dalej: „TSUE”), stwierdzając w wyroku w sprawie Maximillian Schrems przeciwko Data Protection Commissioner[38] nieważność decyzji Komisji ustanawiającej Program Safe Harbour.
Dopuszczalność transferu danych w ramach Programu Safe Harbour została przedłużona do końca 2016 r., a wspomniany wyrok przyspieszył prace nad nowym porozumieniem. 12 lipca 2016 r. Komisja Europejska przyjęła decyzję w
Natomiast nie do końca rozwiązany został problem, który doprowadził do unieważnienia Programu Safe Harbour, mianowicie dostęp władz amerykańskich do danych osobowych obywateli Unii. Stwierdzono, że może się on odbywać w przypadkach dotyczących m.in. szpiegostwa, terroryzmu czy cyberprzestępczości[41]. Przesłanki dostępu amerykańskich służb do danych osobowych obywateli UE zostały opisane w sposób mało precyzyjny, co może stanowić pole do kolejnych nadużyć.
Przed przekazaniem danych osobowych do USA należy zweryfikować, czy dany podmiot uczestnicy w Programie Tarcza Prywatności i posiada certyfikat. Warto przy tym pamiętać, że decyzja Komisji stwierdzająca odpowiedni poziom ochrony danych osobowych nie jest jedyną podstawą prawną transferu danych osobowych z UE do USA, choć w praktyce najwygodniejszą. W razie braku takiej decyzji art. 46 ust. 2 i art. 49 RODO przewidują inne metody legitymizujące przepływ danych do państwa trzeciego, takie jak np. standardowe klauzule ochrony danych przyjęte przez Komisję, wiążące reguły korporacyjne czy też wyraźna zgoda osoby, której dane dotyczą.
 
Ostatnie wydarzenia, które miały miejsce już po uruchomieniu Programu Tarcza Prywatności, tzn. wyciek danych użytkowników Facebooka do firmy Cambridge Analytica i pojawiające się doniesienia o możliwości ich wykorzystania poprzez wpływanie na zachowania wyborców, świadczą o tym, jak ważnym komponentem naszej rzeczywistości są dane osobowe i jak trudnym wyzwaniem jest ich skuteczna ochrona. Dużą rolę w wyznaczaniu kierunku tych zmian odgrywają również sądy, których wyroki stają się drogowskazami dla prawodawców. Za przykład może posłużyć wspomniany wyżej wyrok TSUE w sprawie Maximillian Schrems przeciwko Data Protection Commissioner, który unieważnił Program Safe Harbour, a także wyrok w sprawie Mario Costeja Gonzalez[42], w którym TSUE przesądził o istnieniu „prawa do bycia zapomnianym” na gruncie obowiązującej wówczas dyrektywy , po czym explicite zostało ono zapisane w przepisach RODO.
Stały postęp w dziedzinie wykorzystywania danych osobowych i ewolucja technologii w zakresie przetwarzania danych osobowych wymuszają ciągłe zmiany regulacji prawnych. Ciekawe zatem jest obserwowanie reakcji prawodawców, przybierających różną postać po obu stronach Atlantyku, na technologiczne i społeczne zmiany w dziedzinie ochrony danych osobowych. Wydaje się, że omawiane modele ochrony danych osobowych przybrały bardzo zróżnicowane normatywne postaci, mimo tożsamości wartości przez nie chronionych. Łączącym je pomostem jest Program Tarcza Prywatności, który – przynajmniej w ocenie Komisji Europejskiej – zapewnia akceptowalny poziom ochrony danych osobowych przez podmioty, które do tego programu dobrowolnie przystąpiły.
 
Ewelina Roguska
legislator w Biurze Legislacyjnym Kancelarii Sejmu, absolwentka Centrum Prawa Amerykańskiego na Uniwersytecie Warszawskim
 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, s. 1, ze zm.).
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.05.2016, s. 89).
[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz. Urz. UE L 119 z 4.05.2016, s. 132).
[4] M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej, Warszawa 2014, s. 36.
[5] Szerzej zob. J. Kokott, Ch. Sobotta, The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR, „International Data Privacy Law” 2013, t. 3, nr 4.
[6] Komunikat Komisji do Parlamentu Europejskiego i Rady: Wzmocniona ochrona, nowe możliwości – wytyczne Komisji dotyczące bezpośredniego stosowania ogólnego rozporządzenia w ochronie danych od dnia 25 maja 2018 r. (COM(2018) 43 final).
[7] European Commission, GDPR in numbers, https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf (dostęp: 12.04.2019).
[8] Dz. Urz. WE L 281 z 23.11.1995, s. 31.
[9] Komunikat Komisji do Parlamentu Europejskiego i Rady, op. cit., s. 6.
[10] Ministerstwo Administracji i Cyfryzacji, Departament Społeczeństwa Informacyjnego, Analiza programu „Bezpieczna Przystań”(„Safe Harbour”) w zakresie przekazywania danych osobowych z terytorium Polski do odbiorców w Stanach Zjednoczonych Ameryki, Warszawa 2014, s. 2.
[11] Zarówno w świetle art. 25 ust. 1 dyrektywy 95/46/WE, jak i art. 45 ust. 1 RODO.
[12] A także wobec terytoriów zależnych: Guernsey, wyspa Man, Jersey i Wyspy Owcze.
[13] DG Trade Statistical Guide, czerwiec 2018, Komisja Europejska, http://trade.ec.europa.eu/doclib/docs/2013/may/tradoc_151348.pdf, s. 55 (dostęp: 8.04.2019).
[14] M. Szczotkowska, Regulacje prawne transferu danych osobowych obywateli UE do USAprawnoporównawcza analiza programu Safe Harbour i programu Privacy Shield, „Folia Iuridica Univeritatis Wratislaviensis” 2016, t. 5, nr 1, s. 85.
[15] J. Maxeiner, Business Information and "Personal Data": Some Common-Law Observations about the EU Draft Data Protection Directive, https://scholarworks.law.ubalt.edu/cgi/viewcontent.cgi?article=1759&context=all_fac, s. 622 (dostęp: 11.04.2019).
[16] J. Zygmunt, Program Safe Harbourpomost między europejskim a amerykańskim systemem ochrony danych osobowych, „Adam Mickiewicz University Law Review” 3/2014, s. 62.
[17] K. Motyka, Prawo do prywatności, „Zeszyty Naukowe Akademii Podlaskiej w Siedlcach, Seria Administracja i Zarządzanie” 2010, nr 85, s. 11. W przywołanym artykule autorzy podkreślali konieczność ochrony prawa do prywatności, które zdefiniowali jako prawo do bycia pozostawionym w spokoju. Artykuł ten uznaje się za jeden z ważniejszych tekstów amerykańskiego piśmiennictwa, który wpłynął na rozwój prawodawstwa Stanów Zjednoczonych. B. Marcinkowski, Dane osobowe: Polska – UE – USA. Współczesne wyzwania. Administracyjnoprawne zagadnienia odpowiedniości poziomu ochrony danych osobowych na przykładzie amerykańskiego prawa federalnego, Warszawa 2018, s. 76.
[18] Ibidem, s. 103.
[19] S. Cobb, Data privacy and data protection: US law and legislation, https://www.welivesecurity.com/wp-content/uploads/2018/01/US-data-privacy-legislation-white-paper.pdf, s. 1 (dostęp: 11.04.2019).
[20] B. Marcinkowski, op. cit., s. 157 i n.
[21] Ibidem, s. 163.
[22] The International Comparative Legal Guides, USA: Data Protection 2018, https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa (dostęp: 11.04.2019).
[23] Data breach notification: 10 ways GDPR differs from the US privacy model, https://www.pwc.com/us/en/services/consulting/cybersecurity/library/broader-perspectives/gdpr-differences.html (dostęp: 6.04.2019).
[24] Ibidem.
[25] B. Marcinkowski, op. cit., s. 190.
[26] J. Zygmunt, op. cit., s. 64.
[27] Basics of the California Consumer Privacy Act of 2018, https://www.privacypolicies.com/blog/california-consumer-privacy-act/#the-gdpr-and-the-cppa (dostęp: 5.05.2019).
[28] The California Consumer Privacy Act of 2018, https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/ (dostęp: 5.05.2019).
[29] B. Marcinkowski, op. cit., s. 307.
[30] Ibidem, s. 211.
[31] Ibidem, s. 171.
[32] J. Zygmunt, op. cit., s. 65.
[33] Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz. Urz. WE L 215 z 25.08.2000, s. 7).
[34] Została rozwiązana 25 maja 2018 r. i zastąpiona Europejską Radą Ochrony Danych.
[35] M. Szczotkowska, op. cit., s. 92.
[36] Ministerstwo Administracji i Cyfryzacji, Departament Społeczeństwa Informacyjnego, op. cit., s. 9.
[37] Ibidem, s. 10.
[38] Wyrok TSUE z 6 października 2015 r. w sprawie C-362/14, Maximillian Schrems przeciwko Data Protection Commissioner, EU:C:2015:650.
[39] Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Dz. Urz. UE L 207 z 1.08.2016, s. 1).
[40] M. Szczotkowska, op. cit., s. 95.
[41] Ibidem, s. 97.
[42] Wyrok TSUE z 13 maja 2014 r. w sprawie C-131/12, Google Spain SL i Google Inc. przeciwko Agencia Española de Proteccion de Datos (AEPD) i Mario Costeja Gonzalez, EU:C:2014:317.

Prawo i praktyka

Przygody Radcy Antoniego

Odwiedź także

Nasze inicjatywy